网站注册与登陆使用 bcrypt与 passport 双重验证 解释 bcrypt 安装不成功解决办法

网站在登陆前，须要进行注册收集用户基本信息，bcrypt 提供密码加密验证的方法，可是使用不正确，会给初学者带来各类问题。

bcrypt 的安装：

npm i bcrypt

通过测试，常常安装不成功，缘由和node.js的版本有缘由，我在 下面这篇文章中有记录解决办法：

bcrypt 安装不成功解决办法

但也不是万能的，若是还不能解决的话，能够尝试给 bcrypt 指定版本号安装：

npm install --save bcrypt@2.0.1

通常是会成功的！！

 

用户在注册时，除了收集用户信息外，由于要用到 bcrypt ，必需要在注册时对密码进行加密，加密后再保存到数据库中。由于用户登陆时，使用 bcrypt 的 compare 方法，这个方法是验证加密的密码的，若是在注册时没有加密，而登陆时使用 compare 进行验证，直接会致使，将 mongodb 直接挂掉！并且登陆也不会成功，也不报错，也不提示的这种尴尬的局面，会致使无从下手。

bcrypt  注册的逻辑：

1. 收集用户（表单）的基本信息
2. bcrypt.genSalt() 给密码加密
3. 加密完成，将数据保存在数据库

router.post('/register',urlencodedParser,(req,res) => {
    //验证
    
    const newUser = new UserSchema({
        email: req.body.email,
        password:req.body.password,
        confirmPassword:req.body.confirmPassword,
        firstName:req.body.firstName,
        lastName:req.body.lastName
    });

    console.log('body:  ' + newUser)

    //给 newUser.password 加密,hash 为加密后的密码
    bcrypt.genSalt(10, function(err, salt) {
        bcrypt.hash(newUser.password, salt, (err, hash) => {
            if(err) throw err;
            
            newUser.password = hash;

            //保存到数据库
            newUser.save().then((user) => {
                res.redirect('/admin/login');
                res.send(user);
            }).catch((err) => {
                res.render('/admin/register',{})
            })
        });
    });
});

res.redirect（） 为跳转到哪一个路径
注册成功以后，直接跳转到 login 页面。

登陆相对比较复杂，会用到 passport 与 bcrypt 进行验证。

• passport 功能单一，支持本地帐号验证和第三方帐号登陆验证，这里用到了本地用户登陆验证。它自己不能做验证，它主要是用来验证请求的，是由 passport 与 local-passport 搭配使用的。
• bcrypt 是单向的，跨平台的文件加密工具，通过它加密的密码，口令为8~56个字符，并在内容被转化为 448 位的密钥，在加密算法领域，越慢的加密算法越安全，bcrypt 比 md5 还要慢，所以它的算法是比较安全的，黑客破解成本高。因 bcrypt 是单向的，受攻击破解的几率大大下降。

登陆方法也能够不使用 passport 登陆账号验证，仅使用 bcrypt 进行密码验证：

const express = require('express');
const router = express.Router();
const bodyParser = require('body-parser');
const bcrypt = require('bcrypt');
const urlencodedParser = bodyParser.urlencoded({ extended: false });

require('../models/UserSchema');
const UserSchema = mongoose.model('users');

router.post("/login",urlencodedParser,(req,res,next) => {
    const loginUser = {
        email:req.body.email,
        password:req.body.password
    };

    console.log(loginUser);


     UserSchema.findOne({
         email:loginUser.email
       }).then(users => {if(!users){
           return done(null, false, {message: 'No User Found'});
        } 
       //验证密码
         bcrypt.compare(loginUser.password, users.password, (err, isMatch) => {
          if(err) throw err;
          if(isMatch){
           res.redirect('/')
         } else {
           res.redirect('/admin/login')
          }
        })
      })
  });

同时使用 passport 与 bcrypt 进行验证：

npm install passport --save
npm install passport-local --save

默认本地验证是经过用户名和密码来进行验证的，须要对 Strategies 进行配置：

assport.use(new LocalStrategy(
      function(username, password, done) {
          //操做
    })
})

我这个项目是使用邮箱和密码来进行验证的，方法有所不一样：

passport.use(new LocalStrategy({usernameField: 'email'}, (email, password, done) => {
    //操做

  }))

LocalStrategy 的第一个参数对象为一个字符串，用来讲明是用户验证是的是一个 email;
　　　　　　　　　 第二个参数是从 passport 方法中获取并传回来的表单中的值，也就是要验证的字段。
　　　　　　　　　　第二个参数中的 done 为验证回调，在passport.use()里面，done()有三种用法

• 当发生系统级异常时，返回done(err)，这里是数据库查询出错
• 当验证不经过时，返回done(null, false, message)，这里的message是可选的，可经过express-flash调用。express-flash 为验证提示信息：登陆成功 / 登陆失败
• 当验证经过时，返回done(null, user)

login 在这里的登陆方法，登陆过程当中的密码验证在 passport.js 中一块儿操做：

const express = require('express');

const router = express.Router();

const mongoose = require('mongoose');

const bodyParser = require('body-parser');

const bcrypt = require('bcrypt');

const passport = require('passport');

const urlencodedParser = bodyParser.urlencoded({ extended: false });

router.post("/login",urlencodedParser,(req,res,next) => {
    const loginUser = {
        email:req.body.email,
        password:req.body.password
    };

    console.log(loginUser);
    passport.authenticate('local', {
      successRedirect:'/',
      failureRedirect: '/admin/login',
      failureFlash: true
    })(req, res, next);
})

这里的passport.authenticate(‘local’)就是中间件，若经过就进入后面的回调函数，而且给res加上res.user，若不经过则默认返回401错误。

authenticate()方法有3个参数，第一是name，即验证策略的名称，第二个是options，包括下列属性：

• session：Boolean。设置是否须要session，默认为true
• successRedirect：String。设置当验证成功时的跳转连接
• failureRedirect：String。设置当验证失败时的跳转连接
• failureFlash：Boolean or String。设置为Boolean时，express-flash将调用use()里设置的message。设置为String时将直接调用这里的信息。
• successFlash：Boolean or String。使用方法同上。

第三个参数是callback。

const LocalStrategy = require('passport-local').Strategy;

const bcrypt = require('bcrypt');

// Load user model

const UserSchema = require('../models/UserSchema');

 

module.exports = function(passport){

　　passport.use(new LocalStrategy({usernameField: 'email'}, (email, password, done) => {

　　console.log('获取的字段：' + email+'/'+ password)

　　 // Match user

　　UserSchema.findOne({

　　　　email:email

　　}).then(users => {

　　　　console.log('user存在吗？' + users)

　　　　if(!users){

　　　　　　return done(null, false, {message: 'No User Found'});

　　　　}

　　 // Match password

　　bcrypt.compare(password, users.password, (err, isMatch) => {

　　　　console.log('password ' + password);

　　　　console.log('user.password' + users.password);

　　　　if(err) throw err;

　　　　if(isMatch){

　　　　　　console.log('isMatch ' + isMatch)

　　　　　　return done(null, users);

　　　　} else {

　　　　　　return done(null, false, {message: 'Password Incorrect'});

　　　　}

　　})

　})

}));

/**下面两个方法是用来对数据进行序列化的
   * serializeUser  将users.id序列化到session中
   * deserializeUser  若id存在则从数据库中查询users并存储与req.users中
   * 
   * 此处的 users 为表名
   */
  passport.serializeUser(function(users, done) {
    done(null, users.id);
  });
  
  passport.deserializeUser(function(id, done) {
    UserSchema.findById(id, function(err, users) {
      done(err, users);
    });
  });
}

 

登陆验证方法尚未彻底搞懂，若是哪里有不对的地方，欢迎指正。